Administrador
Páginas: 8 (1963 palabras)
Publicado: 24 de octubre de 2012
Universidad Politécnica de Cartagena
Escuela Técnica Superior de Ingeniería de Telecomunicación
SEGURIDAD EN REDES DE COMUNICACIONES
Práctica 2: Autenticación. RADIUS y EAP (Extensible Authentication Protocol)
María Dolores Cano Baños Natalio López Martínez
Objetivos
Al finalizar la práctica el alumno debe ser capaz de: Configurar un servidor RADIUS. Configurar un clienteEAP. Configurar un switch para ser utilizado como autenticador en un sistema de autenticación basado en EAP con servidor de autenticación RADIUS. Conocer el funcionamiento general del sistema de autenticación EAP con RADIUS (mensajes que se intercambian, etc.)
RADIUS
RADIUS (Remote Authentication Dial-In User Services) es un protocolo de autenticación ampliamente utilizado que permite tener laautenticación, la autorización y la contabilidad centralizadas para el acceso de red. Desarrollado inicialmente para acceso remoto dial-up (marcado manual), RADIUS es soportado actualmente por servidores VPN (Virtual Private Network), puntos de acceso inalámbricos, conmutadores de autenticación Ethernet, acceso DSL (Digital Subscriber Line) y otros tipos de redes de acceso. El protocolo RADIUS sedescribe en la RFC 2865 (www.ietf.org). Un cliente RADIUS, (normalmente un servidor de acceso) envía las credenciales de usuario y la información de los parámetros de conexión en forma de mensaje RADIUS al servidor RADIUS. El servidor RADIUS comprueba las credenciales del cliente, indicando mediante un mensaje de respuesta si se autoriza o no la petición del cliente RADIUS. El cliente RADIUStambién puede enviar al servidor RADIUS mensajes de contabilidad (Accounting). Adicionalmente, el estándar RADIUS soporta el uso de servidores proxy RADIUS. Un proxy RADIUS es un equipo que remite mensajes RADIUS entre clientes RADIUS, servidores RADIUS u otros proxies RADIUS. Los mensajes RADIUS nunca se envían entre el cliente de acceso y el servidor de acceso. Los mensajes RADIUS son enviados comomensajes UDP. El puerto UDP 1812 se usa normalmente para los mensajes RADIUS de autenticacióny el puerto UDP 1813 para los mensajes RADIUS de contabilidad. Algunos servidores de acceso emplean el puerto UDP 1645 para los mensajes RADIUS de autenticación y el puerto 1646 para los mensajes RADIUS de contabilidad. Los tipos de mensajes RADIUS son: AccessRequest, Access-Accept, Access-Reject,Access-Challenge, Accounting-Request y Accounting-Response.
EAPOL (Extensible Protocol over LAN)
Authentication
El esquema de seguridad EAPOL permite el intercambio de información de autenticación entre cualquier equipo conectado a un switch (caso de estudio de esta práctica) y un servidor de autenticación como por ejemplo un servidor RADIUS. EAPOL se basa en EAP tal y como se especifica en elestándar 802.11x para establecer un control de acceso en redes LAN. Algunos de los términos usados en EAPOL son: o Suplicante o cliente: la máquina que solicita el acceso a la red.
o
Autenticador: Software con el único propósito de autorizar a un determinado cliente. Se comunica con el suplicante haciendo uso del protocolo de encapsulación EAPOL. Servidor de autenticación: un servidor RADIUS queproporciona servicios de autenticación al autenticador. PAE (Port Access Entity): Entidad software asociada con cada puerto que soporta funcionalidad tanto de cliente como de autenticador. Puerto controlado: cualquier puerto del switch que tenga activada la característica de seguridad basada en EAP.
o o o
El autenticador se encarga de decidir cuál debe ser el estado (modo de funcionamiento)del puerto controlado. Dicho estado puede variar entre dos opciones: o o Reenvío o Forwarding: estado en el que se permite el paso de los paquetes a través del conmutador mediante el puerto en cuestión. Bloqueo o Cerrado: estado en el que no se permite el paso de paquetes a través de dicho puerto.
Desarrollo de la práctica
Instalación de servidor RADIUS
1. En primer lugar descargue el...
Escuela Técnica Superior de Ingeniería de Telecomunicación
SEGURIDAD EN REDES DE COMUNICACIONES
Práctica 2: Autenticación. RADIUS y EAP (Extensible Authentication Protocol)
María Dolores Cano Baños Natalio López Martínez
Objetivos
Al finalizar la práctica el alumno debe ser capaz de: Configurar un servidor RADIUS. Configurar un clienteEAP. Configurar un switch para ser utilizado como autenticador en un sistema de autenticación basado en EAP con servidor de autenticación RADIUS. Conocer el funcionamiento general del sistema de autenticación EAP con RADIUS (mensajes que se intercambian, etc.)
RADIUS
RADIUS (Remote Authentication Dial-In User Services) es un protocolo de autenticación ampliamente utilizado que permite tener laautenticación, la autorización y la contabilidad centralizadas para el acceso de red. Desarrollado inicialmente para acceso remoto dial-up (marcado manual), RADIUS es soportado actualmente por servidores VPN (Virtual Private Network), puntos de acceso inalámbricos, conmutadores de autenticación Ethernet, acceso DSL (Digital Subscriber Line) y otros tipos de redes de acceso. El protocolo RADIUS sedescribe en la RFC 2865 (www.ietf.org). Un cliente RADIUS, (normalmente un servidor de acceso) envía las credenciales de usuario y la información de los parámetros de conexión en forma de mensaje RADIUS al servidor RADIUS. El servidor RADIUS comprueba las credenciales del cliente, indicando mediante un mensaje de respuesta si se autoriza o no la petición del cliente RADIUS. El cliente RADIUStambién puede enviar al servidor RADIUS mensajes de contabilidad (Accounting). Adicionalmente, el estándar RADIUS soporta el uso de servidores proxy RADIUS. Un proxy RADIUS es un equipo que remite mensajes RADIUS entre clientes RADIUS, servidores RADIUS u otros proxies RADIUS. Los mensajes RADIUS nunca se envían entre el cliente de acceso y el servidor de acceso. Los mensajes RADIUS son enviados comomensajes UDP. El puerto UDP 1812 se usa normalmente para los mensajes RADIUS de autenticacióny el puerto UDP 1813 para los mensajes RADIUS de contabilidad. Algunos servidores de acceso emplean el puerto UDP 1645 para los mensajes RADIUS de autenticación y el puerto 1646 para los mensajes RADIUS de contabilidad. Los tipos de mensajes RADIUS son: AccessRequest, Access-Accept, Access-Reject,Access-Challenge, Accounting-Request y Accounting-Response.
EAPOL (Extensible Protocol over LAN)
Authentication
El esquema de seguridad EAPOL permite el intercambio de información de autenticación entre cualquier equipo conectado a un switch (caso de estudio de esta práctica) y un servidor de autenticación como por ejemplo un servidor RADIUS. EAPOL se basa en EAP tal y como se especifica en elestándar 802.11x para establecer un control de acceso en redes LAN. Algunos de los términos usados en EAPOL son: o Suplicante o cliente: la máquina que solicita el acceso a la red.
o
Autenticador: Software con el único propósito de autorizar a un determinado cliente. Se comunica con el suplicante haciendo uso del protocolo de encapsulación EAPOL. Servidor de autenticación: un servidor RADIUS queproporciona servicios de autenticación al autenticador. PAE (Port Access Entity): Entidad software asociada con cada puerto que soporta funcionalidad tanto de cliente como de autenticador. Puerto controlado: cualquier puerto del switch que tenga activada la característica de seguridad basada en EAP.
o o o
El autenticador se encarga de decidir cuál debe ser el estado (modo de funcionamiento)del puerto controlado. Dicho estado puede variar entre dos opciones: o o Reenvío o Forwarding: estado en el que se permite el paso de los paquetes a través del conmutador mediante el puerto en cuestión. Bloqueo o Cerrado: estado en el que no se permite el paso de paquetes a través de dicho puerto.
Desarrollo de la práctica
Instalación de servidor RADIUS
1. En primer lugar descargue el...
Leer documento completo
Regístrate para leer el documento completo.